transparentni proxy - RESENI
Marek Soudny
soumar at linux.fjfi.cvut.cz
Fri Nov 17 14:29:34 CET 2017
On 2017/11/14 10:25, Marek Soudny wrote:
> Ahoj,
>
> Zbavujem se v praci starych HW loadbalanceru a nahrazuju je SW resenim -
> dvojice fbsd serveru ve vmware s virtul IPckama na CARPu, mezi nimi
> pfsync a na lodbalancing, mam haproxy. Routovani resi pf. Fbsd je
> aktualni 11.1, haproxy 1.7.9.
>
> Co se tyka obycejneho HTTP/L7 provozu, jede vsechno jak ma. Problem
> nastal ve chvili, kdy jsem zmigroval farmu, kde member servery potrebuji
> v prichozim packetu videt source IP klienta (jedna se o obstarozni java
> appku, ktera je davno bez podpory, ale visi na ni cca 20 tisic
> zakazniku, takze mam zakaz do ni "stourat", navic neprezije vic jak 400
> spojeni..).
>
> Nejprve jsem zkusil balancovat farmu ciste na urovni pf pomoci dvojice
> rdr + pass rule, coz jelo, ale chybi check, jestli je server zivy.
>
> Pak jsem zkusil transparentni proxy s haproxy, ale skoncil jsem na tom,
> ze vsechny priklady jsou pro ipfw, ale zadny pro pf. Tedy jeden je, ale
> ten pouze zminuje pouziti divert-reply, coz je popsane v man(5)
> pf.conf, ale prakticky mi pf zarve, ze divert-reply nema na fbsd v pf(4)
> zadny vyznam. Zkusil jsem kldloadnout ipdivert.ko, ale tahle akce
> komplet zablokovala sit, takze stroj prestal odpovidat na vsech vlanach.
>
> V soucasne dobe mi reseni pf+haproxy funguje tak napul - packet mi
> dorazi na member server se source IP klienta, ale uz mi nedorazi zpatky
> na klienta. Ano, mam tam nejspis problem s routovanim, ale sedim na tom
> uz asi 3 tydny a nejsem schopnej prijit na to, kde presne ten problem
> je. Tedy vim, ze je problem na ceste zpatky, ale nejsem pf/network
> mistr, tak se obracim s prosbou o pomoc na vas, jestli jste uz nekdo
> podobnou vec neresil. Nebranim se ani reseni s jinou technologii, pokud
> ji ma nekdo vyzkousenou.
>
> Na LB (fbsd) mam 3 fyzicke interfacy:
> vmx0 - management iface, pfsync, drzi default routu pro server.
> vmx1 - pripojeny k jednomu routeru, promiscious mode, vlany z daneho
> routeru
> vmx2 - pripojeny ke druhemu routeru, promiscious mode, vlany z daneho
> routeru (tady resim ten problem)
>
> Na interfacu vmx2 mam vlanu 234 - 213.90.2.192/27, GW 213.90.2.193. Na
> ni mam "self" IP 213.90.2.203, IPcko farmy 213.90.2.202 a IPcko pro GW
> member serveru 213.90.2.199. IPcka nejsou v soucasne dobe na CARPu, tam
> budou az mi bude proxy fungovat.
>
> Member server ma IP 213.90.2.201 a default routu 213.90.2.199, aby
> routoval provoz zpatky pres LB. Na testovani mame pouze jeden server.
>
> pf pravidla mam zde (vmx1 a ostatni vmx2 vlany pravidla jsem vynechal,
> imho nejsou pro tohle tema potreba, kdybych se pletl, dodam):
> https://soudny.net/transparent_pf.conf
>
> haproxy config (bez ostatnich farem) je zde:
> https://soudny.net/transparent_haproxy.conf
>
>
> Budu rad za jakoukoliv radu, dekuju.
> Marek
Ahoj,
kdyby nahodou nekdo resil podobny "problem", tak jsem to nakonec vyresil
tak, ze jsem danou farmu spustil v relayd jako redirect a do pf.conf
jsem pridal jen:
rdr-anchor "relayd/*"
anchor "realyd/*"
Preju pekny vikend,
Marek
More information about the Users-l
mailing list